El Banco de México (Banxico) reveló esta semana sobre la mecánica por la cual se realizaron los hackeos al Sistema Electrónico de Pagos interbancarios (SPEI), los cuales llegaron a ser cinco en tres semanas.
Dichos ataques informáticos centrados en la conexión que usan bancos e instituciones para operar SPEI generaron daños por 300 millones de pesos y y lentitud en las transacciones de los cuentahabientes y clientes.
Banxico ordenó una investigación forense para explicar el caso; los ataques fueron contra los sistemas o aplicativos usados por los participantes para preparar las órdenes de pago y conectarse al SPEI, el cual, afirmó, no ha sido blanco de ataques ni ha sido vulnerado ni ha tenido afectaciones en su operación
Estos son los pasos que siguieron los hackers:
- Fabricar o inyectar órdenes de transferencia falsas en los sistemas en los que los bancos procesan las instrucciones de pago.
- Vulnerar la infraestructura tecnológica de las instituciones financieras y generar en sus sistemas órdenes de transferencias «ilegítimas», con cargo a las cuentas de las entidades, pero no de los clientes, en alguna etapa del proceso anterior a su conexión a SPEI.
- Inventar números de cuentas emisoras (que no corresponden a clientes reales) en las órdenes de transferencias apócrifas, dejando sólo cuentas receptoras reales.
- Realizar la inserción de las órdenes falsas en una etapa del proceso ejecutado en los sistemas de los participantes que «no contaba con controles para asegurar que dichas órdenes fueran legítimas».
- Los sistemas atacados firmaron y enviaron al SPEI las órdenes falsas validadas como si fueran legítimas.
- El SPEI, al recibir las órdenes de transferencias, revisó que estén firmadas por las entidades financieras, las procesó y abonó el monto respectivo a la cuenta que le lleva a la institución financiera receptora.
- La institución receptora recibe del SPEI la confirmación de la liquidación o pago y abona el dinero en la cuenta que le lleva a su cliente, en este caso la cuenta especificada y real especificada en la orden de pago falsa.
- Los recursos ilegítimos fueron retirados mediante disposiciones en efectivo.
El primer hackeo, según Banxico, fue el 17 de abril y desde entonces se identificaron cuatro más: dos el 24 de abril, uno el 26 de abril y otro el 8 de mayo.
